Comment fonctionnent les journaux d'audit
Les journaux d'audit sont une fonctionnalité de l'offre Apex pour les organisations qui ont besoin de traçabilité : un relevé durable, en lecture seule, de qui a changé quoi et quand, auquel tu peux répondre longtemps après les faits et que tu peux remettre à un auditeur. Ils suivent les changements de configuration et d'accès, pas le trafic des visiteurs, ce à quoi servent les statistiques.
Trois niveaux
Caputchin tient des journaux d'audit à trois niveaux indépendants, chacun limité à sa propre tenancy. Tu lis le niveau qui correspond au changement que tu traces, et chacun a sa propre page dans le tableau de bord et sa propre référence ici.
| Niveau | Où il vit | Référence |
|---|---|---|
| Compte | Paramètres du compte | Journal du compte |
| Équipe | La page propre d'une équipe | Journal de l'équipe |
| Clé de site | La page propre d'une clé de site | Journal de la clé de site |
Une suppression est consignée un niveau au-dessus de la chose supprimée : supprimer une clé de site atterrit sur le journal de l'équipe, et supprimer une équipe atterrit sur le journal du compte. C'est délibéré, parce que supprimer quelque chose emporte son propre journal avec lui (il n'y a pas de soft-delete), donc le relevé de la suppression doit vivre sur le parent survivant. Tout le reste, y compris la création de chaque chose, vit sur son propre niveau.
Ce que montre chaque entrée
Chaque entrée est une seule action et capture assez pour répondre à « qui a fait quoi, quand, et est-ce que ça a marché » :
- Qui : la personne ou le jeton derrière l'action, et si elle a agi via une session du tableau de bord ou un Personal Access Token. Les actions prises par le support Caputchin sous accès support apparaissent sous leur propre identité.
- Quoi : l'action, la chose qu'elle a touchée, et un résumé du changement, y compris un avant-après pour les modifications de configuration.
- Résultat : si elle a réussi ou a été refusée, avec la raison en cas de refus. Une tentative bloquée est aussi au relevé, ce qui est souvent la moitié la plus intéressante d'une enquête.
- Quand : un horodatage, plus un id de requête que tu peux citer au support ou aligner contre tes propres journaux.
Trouver ce dont tu as besoin
Un journal chargé devient long, donc le panneau le filtre de la même façon à chaque niveau :
- Par action, pour ne voir qu'un genre de changement.
- Par qui : cherche une personne ou un jeton par nom, ou restreins aux sessions du tableau de bord par rapport aux Personal Access Tokens.
- Par cible, pour suivre les changements d'une chose précise.
- Par date, pour borner une enquête à une fenêtre.
- Tentatives refusées : le journal montre les actions réussies par défaut ; bascule l'interrupteur pour inclure celles qui ont été bloquées.
Exporter
Tu peux télécharger la vue actuelle en CSV ou JSON. Le fichier est nommé d'après la portée et l'heure à laquelle il a été pris. Le CSV s'ouvre directement dans un tableur et est la façon habituelle de remettre des preuves à un auditeur ; le JSON convient mieux pour alimenter les relevés dans ton propre outillage ou SIEM.
Rétention
Les entrées sont gardées deux ans, puis retirées automatiquement. Exporte tout ce que tu as besoin de garder au-delà. Si un compte quitte Apex, ses journaux cessent d'être disponibles avec le reste des fonctionnalités Apex, donc exporte d'abord si tu en as besoin.
Voir aussi
- Journal du compte : connexions, jetons, facturation et offre à l'échelle du compte.
- Journal de l'équipe : membres, réglages d'équipe et suppression de clé de site.
- Journal de la clé de site : cycle de vie et configuration d'une clé.